Bezpieczeństwo systemów komputerowych

Transkrypt

1 Bezpieczeństwo systemów komputerowych Ogólne własności bezpieczeństwa informacji Marcin Peczarski Instytut Informatyki Uniwersytetu Warszawskiego 25 października 2016 Na podstawie materiałów Michała Szychowiaka z

2 Klasy bezpieczeństwa systemów komputerowych Trusted Computer System Evaluation Criteria (TCSEC Orange Book): standard opracowany w USA; pierwszy powszechny taki standard w skali światowej; obowiązywał w latach ; stał się podstawą opracowania podobnych norm w Europie i na świecie; bardzo często nawet współcześnie znajduje się odwołania do certyfikatów tego standardu. Information Technology Security Evaluation Criteria (ITSEC): standard opracowany przez Unię Europejską; obowiązywał w latach ; powstał głównie na podstawie angielskiego CESG2/DTIEC, francuskiego SCSSI i niemieckiego ZSIEC.

3 Klasy bezpieczeństwa systemów komputerowych, cd. Common Criteria Assurance Levels (EAL): aktualnie obowiązujący standard; będący w istocie złączeniem ITSEC, TCSEC oraz kanadyjskiego CTCPEC; od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation (CCITSE); od 1999 roku zaakceptowany jako międzynarodowa norma ISO Uzyskanie certyfikatu przynależności do klasy bezpieczeństwa jest operacją formalną i odpłatną.

4 Klasy TCSEC D: minimalna ochrona (właściwie jej brak); systemy poddane ocenie, ale nie spełniające wymagań wyższych klas. C1: identyfikacja i uwierzytelnianie użytkowników; użytkownicy i zasoby posiadają unikalne identyfikatory; ochrona za pomocą haseł; kontrola dostępu na poziomie: właściciel, grupa, pozostali użytkownicy; ochrona systemowych obszarów pamięci. C2: możliwość rozróżniania pojedynczych użytkowników; automatyczne czyszczenie przydzielanych obszarów pamięci; wymagana możliwość rejestracji dostępu do zasobu (ang. audit).

5 Klasy TCSEC B1: etykietowane poziomy ochrony. B2: precyzyjnie zdefiniowany i udokumentowany model bezpieczeństwa; ochrona strukturalna jądro ochrony; weryfikacja autentyczności danych i procesów; informowanie użytkownika o dokonywanej przez jego proces zmianie poziomu ochrony; wykrywanie zamaskowanych kanałów komunikacyjnych; ścisła rejestracja operacji. B3: kontrola wszystkich przeprowadzanych przez użytkownika operacji; domeny ochronne; aktywna kontrola pracy systemu (ang. security triggers); bezpieczne przeładowanie systemu.

6 Klasy TCSEC A1: formalny opis systemu umożliwiający przeprowadzenie analizy poprawności implementacji; formalne procedury analizy i weryfikacji projektu i implementacji systemu.

7 Poziomy pewności EAL EAL0: brak pewności. EAL1: produkt testowany funkcjonalnie; analiza bezpieczeństwa wykorzystująca specyfikację funkcji i interfejsu w celu zrozumienia zachowania systemu; niezależne testowanie funkcji bezpieczeństwa. EAL2: produkt testowany strukturalnie; analiza bezpieczeństwa wykorzystująca wysokopoziomowy opis projektu podsystemów; dowody testowania przez producenta i wyszukiwania oczywistych słabych punktów.

8 Poziomy pewności EAL EAL3: produkt testowany metodycznie i sprawdzany; analiza bezpieczeństwa wykorzystująca metodę szarej skrzynki, tj. selektywne niezależne potwierdzanie wyników testów producenta; wymagania związane ze środowiskiem produkcji i zarządzaniem konfiguracją. EAL4: produkt metodycznie projektowany, testowany i sprawdzany; analiza bezpieczeństwa wykorzystująca niskopoziomowy projekt modułów systemu; niezależne wyszukiwanie luk w systemie; model życia, automatyczne zarządzanie konfiguracją.

9 Poziomy pewności EAL EAL5: produkt projektowany półformalnie i testowany; pełna analiza implementacji; pewność na podstawie modelu formalnego i półformalnej prezentacji specyfikacji funkcjonalnej i wysokopoziomowego opisu; poszukiwanie luk musi wykazać względną odporność na atak penetracyjny; analiza ukrytych kanałów; modularność projektu. EAL6: produkt z projektem półformalnie weryfikowanym i testowany; projektowanie modularne, warstwowe; poszukiwanie luk musi wykazać wysoką odporność na atak penetracyjny; systematyczna analiza ukrytych kanałów; zaostrzone rygory środowiska produkcji i zarządzania konfiguracją.

10 Poziomy pewności EAL EAL7: produkt z projektem formalnie weryfikowanym i testowany; formalne podejście do specyfikowania, projektowania i dokumentowania systemu; kompletne niezależne testowanie i weryfikacja testów producenta; minimalizacja złożoności projektu.

11 Kompatybilność standardów bezpieczeństwa TCSEC ITCES CCITSE D E0 EAL0 EAL1 C1 E1, F-C1 EAL2 C2 E2, F-C2 EAL3 B1 E3, F-B1 EAL4 B2 E4, F-B2 EAL5 B3 E5, F-B3 EAL6 A1 E6, F-B3 EAL7

12 Przynależność popularnych systemów do klas bezpieczeństwa Klasa D EAL0 C1 EAL2 C2 EAL3 B1 EAL4 System Windows 9x Unix Linux NetWare Solaris AIX Windows NT Trusted Solaris Trusted IRIX HP-UX Ultrix SuSE Linux (EAL4+) Windows 2000 Prof. SP3

13 Przynależność popularnych systemów do klas bezpieczeństwa, cd. Klasa B2 EAL5 System otwarta platforma kart typu smart firmy Morpho o nazwie IDeal Citiz v2.1 open platform na M7892 B11 biblioteka kryptograficzna V1.0 na P60D024/016/012MVB(Y/Z/A)/yVF firmy NXP Semiconductors Germany GmbH, Business Unit Security and Connectivity

14 Przynależność popularnych systemów do klas bezpieczeństwa, cd. Klasa B3 EAL6 A1 EAL7 System S3FT9MF/S3FT9MT/S3FT9MS 16-bitowy Microcontroller RISC dla kart typu smart z opcjonalną biblioteką Secure/CM1 RSA oraz biblioteką ECC Library wraz ze specyficznym oprogramowaniem, firma Samsung Electronics Co., Ltd. sterownik karty smart produkcji NXP o numerze P60x144/080yVA/yVA(Y/B/X)/yVE wraz ze specyficznym oprogramowaniem, firma NXP Semiconductors Germany GmbH Business Line Identification Virtual Machine of Multos M3 G230M mask with AMD 113v4, Multos international / Trusted Labs Memory Management Unit des microcontrôleurs SAM- SUNG S3FT9KF/ S3FT9KT/ S3FT9KS en révision 1, Samsung Electronics Co., Ltd. / Trusted Labs

15 Koszta czasowe i pieniężne ewaluacji Dane z raportu Government Accountability Office w USA, który podsumowywał koszta czasowe i pieniężne ocen wg poziomów od EAL2 do EAL4.

16 Co jest m.in. sprawdzane przy przyznawaniu klasy bezpieczeństwa EAL1? 1. Wykonywana jest analiza ukrytych kanałów informacji. 2. Testowana jest funkcjonalność. 3. Sprawdzana jest obecność i realizacja modelu życia aplikacji. 4. Poszukiwanie luk musi wykazać wysoką odporność na atak penetracyjny.

17 Trzy podstawowe własności bezpieczeństwa informacji Confidentiality poufność Integrity integralność, nienaruszalność Availability dostępność, dyspozycyjność

18 Inny zestaw własności bezpieczeństwa informacji Confidentiality poufność Possesion własność, posiadanie Integrity integralność, nienaruszalność Authenticity autentyczność, oryginalność Availability dostępność, dyspozycyjność Utility użyteczność, przydatność

19 Zagrożenia poufności informacji Nieuprawniony dostęp do danych w miejscu składowania, np. w bazie danych Nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika Podsłuchanie danych przesyłanych w sieci Analiza fal elektromagnetycznych emitowanych przez urządzenia elektroniczne Analiza poboru prądu przez układy elektroniczne

20 Mechanizmy ochrony poufności informacji Uwierzytelnianie Autoryzacja i kontrola dostępu do zasobów Utrudnianie podsłuchu